HOW TO HACK YOUR APEX APP. Anja Hildebrandt
|
|
- Kasimir Kohl
- vor 5 Jahren
- Abrufe
Transkript
1 HOW TO HACK YOUR APEX APP NATÜRLICH NUR ZU TESTZWECKEN ;) Anja Hildebrandt
2 ÜBER MICH Studium Informatik Oracle seit 2001 APEX (HTMLDB) seit 2004 Blog: apex2rule-the-world.blogspot.com
3 Security is hard. If it s easy, your not doin it right.
4 WARUM SIND SO VIELE ANWENDUNGEN UNSICHER? ist ja nur intern das kriegen die User eh nicht raus geht ja nur um unwichtige Daten nicht genug Zeit ist nur eine kleine Anwendung ist nicht meine Aufgabe
5 REZEPT FÜR DIE KATASTROPHE Anwendung soll möglichst schnell in Produktion gehen + Wir haben zu wenig Zeit Die Anwendung hat mit hoher Wahrscheinlichkeit Sicherheitslücken, die wir einfach fixen könnten, wenn wir sie finden würden und die Zeit dazu bekämen.
6 DIE ANDERE SEITE Angriffe passieren nicht nur von außen Angegriffen werden nicht nur Seiten, die auf den ersten Blick die fette Beute versprechen Social Engineering nicht unterschätzen
7 DIE TOOLS BEISPIEL: KALI LINUX auf Debian basierende Linux-Distribution, die auf Sicherheits- und Penetrationstests spezialisiert ist frei verfügbar enthält mehr als 600 Tools
8 XSS - CROSS SITE SCRIPTING bezeichnet das unauthorisierte Ausführen von Code in einer Webanwendung Referenz oder Code selbst wird in die Datenbank geschrieben Werden bei der Anzeige Sonderzeichen nicht escaped, wird somit der Code ausgeführt, statt nur angezeigt APEX Beispiel: zusätzlich zum Departmentnamen soll in der selben Zelle, aber in 2. Zeile die Anzahl der zur Abteilung gehörenden Mitarbeiter angezeigt werden Einfache Lösung: <br/>, aber der Code wird angezeigt, statt ausgeführt Attribut Escape Special Characters auf no gesetzt und schon klappt es Done!!!
9 BEEF BeEF - Browser Exploitation Framework nutzt XSS zur Übernahme des Browsers eines Opfers
10 DEMO
11 BEEF
12 BEEF
13 BEEF
14 XSS VERHINDERN niemals Escaping auf Reportspalten ausschalten falls es doch nötig ist, genau überprüfen, woher die Daten kommen und ggf. APEX_ESCAPE nutzen immer APEX_ESCAPE nutzen when HTML via htp.p oder htp.prn ausgegeben wird Achtung bei Application Items, die als HTML ausgegeben werden werden nicht per default escaped
15 SQL INJECTION Quelle:
16 ANGREIFBARE ANWENDUNG es genügt EINE SQL Injection Schwachstelle, um das Tor zum DB System für einen Angriff weit zu öffnen Beispiel: select dname, deptno from dept where dname like '%&P1_MATCH.% Benutzung der &ITEM. Syntax ermöglicht das ändern des SQL Statements select dname, deptno from dept where dname like '%' union all select ename, sal from emp where ename like '%'
17 SQL MAP MACHT S MÖGLICH open source penetration testing tool that automates the process of detecting and exploiting SQL injection flaws and taking over of database servers Command Line Tool, das auf Angreifbarkeit durch SQL Injection prüft und diese ausnutzt unterstützt die meisten bekannten Datenbanken MySQL, Oracle, PostgreSQL, Microsoft SQL Server, Microsoft Access, IBM DB2, SQLite, Firebird, Sybase, SAP MaxDB, HSQLDB & Informix
18 VORRAUSSETZUNGEN wwv_flow.show p_flow_id=76668 &p_flow_step_id=1 &p_instance= &p_arg_name=p1_match &p_arg_value=acc
19 AUFRUF VON SQLMAP sqlmap -u" &p_flow_step_id=1 &p_instance=0 &p_arg_name=p1_match &p_arg_value=acc" --batch --dbmsoracle -p p_arg_value --flush-session
20 WEITERE AUFRUFE sqlmap -u "<url>" -b --current-user sqlmap -u "<url>" -b --schema --stop=25 sqlmap -u "<url>" -D doag stop=25 --sql-query="select username from all_users sqlmap -u "<url>" -D doag2018 -T demo_customers --dump sqlmap -u "<url>" -b --tables --stop=10 sqlmap -h sqlmap -hh Bei Seiten mit Authentifizierung --cookie "<name> = <value>"
21 DEMO
22 UND NUN?
23 SQL INJECTION VERHINDERN möglichst überall &ITEM. Syntax vermeiden Vorsicht bei der Verwendung von EXECUTE IMMEDIATE und DBMS_SQL wenn Parameter vom User beeinflusst werden können, dann immer die Eingaben prüfen nur Tabellen und Spalten freigeben, die für die Anwendung nötig sind unnötige Berechtigungen entfernen, um DDL zu vermeiden SQL Injection umgeht die meisten APEX basierten Sicherheitsmechanismen Logs überprüfen SQLMAP hat spezifischen User Agent: sqlmap/ #dev (
24 PUUUH.
25 APEX-SERT ehemals esert (kommerziell) Evaluierungstool APEX Anwendung zur Evaluierung und Identifizierung potentieller Sicherheitsprobleme in anderen APEX Anwendungen verfügbar für 4.2, 5.0 und 5.1 einmal installiert, kann es von allen Workspaces genutzt werden Open Source
26 WIE FUNKTIONIERTS? untersucht Metadaten der Anwendung nach möglichen Sicherheitslücken Ergebnis ist eine interaktive APEX Anwendung, die es auf einfache Weise möglich macht, Probleme zu finden und zu beheben zeigt deutlich auf, welche Bereiche problematisch sind und bietet direkten Link zur entsprechenden Einstellung
27 WELCHE PROBLEME WERDEN GESUCHT? URL Tampering SQL Injection Application Settings Cross Site Scripting Page Settings
28 KOMPLETTER SCAN ALLE Komponenten werden untersucht unabhängig von Condition und Authorization kann mit einer Liste von gültigen Werten und Regeln vorkonfiguriert werden Security ist kein Produkt, sondern ein Prozess.
29 FORTLAUFENDE EVALUIERUNG Ergänzung von Ausnahmeregeln für die Erkennung von false positives und akzeptierbaren Risiken alle definierte Ausnahmen müssen bestätigt werden werden Ausnahmen geloggt, werden auch die Werte der entsprechenden Attribute geloggt ändert sich ein Wert, muss die Ausnahme neu bestätigt werden
30 DEMO
31 ZUSAMMENFASSUNG SQL Injection & XSS sind in fast jeder Sprache möglich meistens werden Risiken (unabsichtlich) durch Entwickler verursacht wenn richtig verwendet, ist APEX eine der sichersten Entwicklungsplattformen Verwendung von Evaluierungstools wie etwa APEX-SERT und Einhaltung von Security Best Practices sichert weitreichende Minimierung von Risiken
32 ZUSAMMENFASSUNG Mit APEX-SERT hat man keine Ausrede mehr, die Sicherheitsprobleme nicht anzugehen. kann in wenigen Minuten installiert werden vollständig integriert in APEX Builder einfach zu verstehen und anzuwenden Evaluierung kann automatisiert werden keine Lizenzkosten
33 LINKS
34
35
Wie sichert man APEX-Anwendungen gegen schädliche Manipulationen und unerwünschte Zugriffe ab?
APEX aber sicher Wie sichert man APEX-Anwendungen gegen schädliche Manipulationen und unerwünschte Zugriffe ab? Carola Berzl BASEL BERN BRUGG GENF LAUSANNE ZÜRICH DÜSSELDORF FRANKFURT A.M. FREIBURG I.BR.
MehrNeue Welten: Externe Daten mit APEX nutzen
Neue Welten: Externe Daten mit APEX nutzen Carsten Czarski Oracle Application Express Development-Team DOAG Regio München - 17. Mai 2018 Copyright 2017 Oracle and/or its affiliates. All rights reserved.
MehrSQL. Datenmanipulation. Datenmanipulationssprache. Ein neues Tupel hinzufügen. Das INSERT Statement
SQL Datenmanipulation Datenmanipulationssprache Ein DML Statement wird ausgeführt wenn: neue Tupel eingefügt werden existierende Tupel geändert werden existierende Tupel aus der Tabelle gelöscht werden
MehrHacker-Methoden in der IT- Sicherheitsausbildung. Dr. Martin Mink
Hacker-Methoden in der IT- Sicherheitsausbildung Dr. Martin Mink Hacker-Angriffe 3.11.2010 Hacker-Methoden in der IT-Sicherheitsausbildung Dr. Martin Mink 2 Typische Angriffe auf Web- Anwendungen SQL Injection
MehrPHP-5-Zertifizierung. Block 12 Security.
PHP-5-Zertifizierung Block 12 Security Allgemeine Regeln Alle Eingaben (von außen) sind (potenziell) böse Eingaben filtern/validieren Ausgaben escapen Trauen Sie nichts von außen! GET-/POST-Daten Cookies
MehrDOAG HC ApEx Workshop. OPITZ CONSULTING GmbH 2009 Seite 1
OPITZ CONSULTING GmbH 2009 Seite 1 Ein Kurzeinstieg in Oracle Application Express Enno Schulte, Werksstudent OPITZ CONSULTING Gummersbach GmbH Fachhochschule Gummersbach, 07.10.2009 OPITZ CONSULTING GmbH
MehrHACK THAT WEBSITE! WEB SECURITY IM SELBSTVERSUCH
HACK THAT WEBSITE! WEB SECURITY IM SELBSTVERSUCH Dr. Stefan Schlott, BeOne Stuttgart GmbH ABOUT.TXT Stefan Schlott, BeOne Stuttgart GmbH Java-Entwickler, Scala-Enthusiast, Linux-Jünger Seit jeher begeistert
Mehr<Insert Picture Here> APEX? Aber sicher! Tipps und Tricks für eine sichere APEX-Umgebung. Carsten Czarski, ORACLE Deutschland B.V. Co.
APEX? Aber sicher! Tipps und Tricks für eine sichere APEX-Umgebung Carsten Czarski, ORACLE Deutschland B.V. Co. KG Themen Grundsätzliches zur APEX-Architektur Security-Attribute in
MehrHACK YOUR OWN WEBSITE! WEB SECURITY IM SELBSTVERSUCH
HACK YOUR OWN WEBSITE! WEB SECURITY IM SELBSTVERSUCH Dr. Stefan Schlott, BeOne Stuttgart GmbH ABOUT.TXT Stefan Schlott, BeOne Stuttgart GmbH Java-Entwickler, Scala-Enthusiast, Linux-Jünger Seit jeher begeistert
MehrLinux-Camp: Linux als Server am Beispiel LAMP
Linux-Camp: Linux als Server am Beispiel LAMP Linux, Apache, MySQL, PHP mit Ubuntu Version 8.04 Inhalt LAMP-Komponenten LAMP-Komponenten installieren, konfigurieren und prüfen Apache Webserver PHP5 MySQL
MehrDOAG 2016 Oracle APEX Security
Für die Restricted Einstellung sind nur folgende Items vorgesehen: Display as Text (escape special characters, does not save state) Display as Text (does not save state) Display as Text (based on LOV,
MehrJust-In-Time Security: Sicherheit im Entwicklungsprozess
Just-In-Time Security: Sicherheit im Entwicklungsprozess Mike Wiesner SpringSource Germany Über mich Senior Consultant bei SpringSource Germany Spring-/Security-Consulting Trainings IT-Security Consulting
MehrSecure Coding & Live Hacking von Webapplikationen. Conect Informunity 8.3.2011
Secure Coding & Live Hacking von Webapplikationen Conect Informunity 8.3.2011 Dr. Ulrich Bayer Security Research Sicherheitsforschung GmbH Motivation Datendiebstahl über (Web)-Applikationen passiert täglich
MehrMoney for Nothing... and Bits4free
Money for Nothing... and Bits4free 8.8.2011 Gilbert Wondracek, gilbert@iseclab.org Hacker & Co Begriff hat je nach Kontext andere Bedeutung, Ursprung: 50er Jahre, MIT Ausnutzen von Funktionalität die vom
MehrOracle Developer Monthly Datenbank-Update für Anwendungsentwickler
Oracle Developer Monthly Datenbank-Update für Anwendungsentwickler Einwahl in die Telefonkonferenz 0800 6648515 oder +49 69 222216106 Conference Code: 9969115 Meeting Passcode: 06062014 Carsten Czarski
MehrWeb Application Testing
Sicherheit von Web Applikationen - Web Application Testing Veranstaltung: IT-Sicherheitstag NRW, 04.12.2013, KOMED MediaPark, Köln Referent: Dr. Kurt Brand Geschäftsführer Pallas GmbH Pallas GmbH Hermülheimer
MehrAPEX 5.0 als wertvolle Ergänzung einer SharePoint-Umgebung. Alexej Schneider DOAG 2015
APEX 5.0 als wertvolle Ergänzung einer SharePoint-Umgebung Alexej Schneider DOAG 2015 Über mich Alexej Schneider Bachelor Angewandte Informatik Schwerpunkte: APEX Front-End Mobile UI/UX Oracle APEX Berater
MehrWeb Application Security: SQL-injection, Cross Site Scripting -- w3af
Web Application Security: SQL-injection, Cross Site Scripting -- w3af 1 Web 2.0 Application und Angriffspunkte Grundlagen: SQL SQL-injection Cross Site Scripting Web Application Scans mit w3af 2 Eine Web
MehrEntspricht dem kartesischen Produkt von zwei oder mehr selektierten Tabellen ohne Join-Bedingung.
Tipps & Tricks: Neuerungen Joins Bereich: SQL Erstellung: 07/2004 HA Versionsinfo: 10.1, 10.2, 11.1, 11.2 Letzte Überarbeitung: 06/2009 MA Neuerungen zu Joins Ab Version 9i sind alle dem SQL:1999-Standard
MehrFunktionen. Überblick über Stored Functions. Syntax zum Schreiben einer Funktion. Schreiben einer Funktion
Überblick über Stored Functions Funktionen Eine Funktion ist ein benannter PL/SQL- Block, der einen Wert zurückgibt. Eine Funktion kann in der Datenbank als Objekt zur wiederholbaren Ausführung gespeichert
MehrWebsecurity. Hochschule Darmstadt, Fachbereich Informatik, Sommersemester Christopher Dörge, Thomas Sauer, David Müller
Websecurity Hochschule Darmstadt, Fachbereich Informatik, Sommersemester 2017 Christopher Dörge, Thomas Sauer, David Müller Vorab ein Disclaimer Websecurity ist ein Dauerthema. Ständig werden neue Angriffspatterns
MehrHACK THAT WEBSITE! WEB SECURITY IM SELBSTVERSUCH
HACK THAT WEBSITE! WEB SECURITY IM SELBSTVERSUCH Dr. Stefan Schlott, BeOne Stuttgart GmbH ABOUT.TXT Stefan Schlott, BeOne Stuttgart GmbH Java-Entwickler, Scala-Enthusiast, Linux-Jünger Seit jeher begeistert
MehrSichere Datenbankanfragen
Vorstand Sichere Datenbankanfragen OpenText WebSiteManagement (Delivery Server) Axel Reinhardt Agenda Was ist SQL-Injection? Beispiel eines Bestellprozesses Vorgehen eines Angreifers Härten der Web-Seite
MehrArbeit mit zusammengesetzten Datentypen
Arbeit mit zusammengesetzten Datentypen Zusammengesetzte Datentypen Typen: PL/SQL RECORDS PL/SQL TABELLEN Enthalten interne Komponenten Sind wiederverwendbar Copyright Oracle Corporation, 1998. All rights
MehrHacker-Tool Browser von der Webanwendung zu den Kronjuwelen
Hacker-Tool Browser von der Webanwendung zu den Kronjuwelen Ralf Reinhardt 28.11.2013, 16:40 Uhr Roadshow Sicheres Internet aiti-park Werner-von-Siemens-Str. 6 86159 Augsburg 1 Hacker-Tool Browser Über
MehrHACK YOUR OWN WEBSITE! WEB SECURITY IM SELBSTVERSUCH. Stefan Schlott @_skyr
HACK YOUR OWN WEBSITE! WEB SECURITY IM SELBSTVERSUCH Stefan Schlott @_skyr DIE OWASP TOP-10 Alpha und Omega der Security-Talks :-) TOP 10 VON 2013 1. Injection 2. Broken Authentication/Session Management
MehrWeb-Sicherheit: Kein fauler Zauber?! Kai Jendrian. <Seminartitel> <Seminartitel>
Web-Sicherheit: Kein fauler Zauber?! Security Consulting GmbH, Karlsruhe Seite 1 Security Consulting GmbH, Karlsruhe Seite 2 Security Consulting GmbH, Karlsruhe Seite 3 Security
MehrSicherheit von Webapplikationen Sichere Web-Anwendungen
Sicherheit von Webapplikationen Sichere Web-Anwendungen Daniel Szameitat Agenda 2 Web Technologien l HTTP(Hypertext Transfer Protocol): zustandsloses Protokoll über TCP auf Port 80 HTTPS Verschlüsselt
MehrAPEX OOS TOOLS & HELFER
APEX OOS TOOLS & HELFER About me Oracle > 8 Jahre APEX > 8 Jahre Freelancer seit 2016 Vorher APEX Entwickler im Versicherungsumfeld aktiver Open Source Entwickler auf Github Mit-Entwickler von apex.world!
Mehr<HTML DB> Web Application Development
Web Application Development Ralph Behrens Sales Consultant Oracle Deutschland GmbH IT-Fundstücke... Excel-Spreadsheets als Datenbanken PC-'Datenbanken' (Access, Lotus Notes) als Einzelplatzlösung
MehrNoSQL mit Postgres 15. Juni 2015
Tag der Datenbanken 15. Juni 2015 Dipl.-Wirt.-Inform. Agenda l Vorstellung l Marktübersicht l Warum PostgreSQL? l Warum NoSQL? l Beispielanwendung Seite: 2 Vorstellung Dipl.-Wirt.-Inform. [1990] Erste
MehrAktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen
FAEL-Seminar Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen Prof. Dr. Marc Rennhard Institut für angewandte Informationstechnologie InIT ZHAW Zürcher Hochschule für Angewandte
MehrCarsten Czarski Oracle Deutschland B.V. & Co KG. Keine Angst vor SQL Injection oder Wie man Datenbankzugriffe sicher implementiert
Carsten Czarski Oracle Deutschland B.V. & Co KG Keine Angst vor SQL Injection oder Wie man Datenbankzugriffe sicher implementiert Keine Angst vor SQL Injection oder "Wie man Datenbankzugriffe
MehrErzeugen von Constraints
Erzeugen von Constraints Was sind Constraints? Durch Constraints werden Regeln auf einem bestimmtem Tabellen-Level erzwungen. Die folgenden Constraint-Typen sind in Oracle integriert: NOT NULL UNIQUE Key
MehrAPEX Office Print - Einfach Druck machen! Daniel Hochleitner Freelance APEX Developer, FOEX GmbH
APEX Office Print - Einfach Druck machen! Daniel Hochleitner Freelance APEX Developer, FOEX GmbH APEX Connect 2018 Call for Papers bis 08.11.2017!! Agenda About APEX Office Print Lizenz / Architektur /
MehrPrakt. Datenbankprogrammierung. Sommersemester Was sind Constraints? I,11: Verwendung von Constraints. Festlegung von Constraints
Prakt. Datenbankprogrammierung Sommersemester 2005 I,11: Verwendung von Constraints Was sind Constraints? Constraints stellen Regeln auf Tabellenebene sicher. Constraints verhindern das Löschen aus einer
Mehr<Insert Picture Here> MySQL Workbench für Einsteiger
MySQL Workbench für Einsteiger Ralf Gebhardt Principal Sales Consultant MySQL Agenda MySQL Workbench 5.2 Design, Entwicklung, Administration MySQL Workbench Varianten Erweiterbarkeit
MehrEin APEX für alle und alle für APEX! Niels de Bruijn, Fachbereichsleiter APEX , DOAG DB Konferenz
Ein APEX für alle und alle für APEX! Niels de Bruijn, Fachbereichsleiter APEX 11.05.2016, DOAG DB Konferenz Agenda Was war APEX nochmal? APEX in meiner Datenbank Was bringt APEX für die Firma? Was ist
MehrAbsicherung von Web-Anwendungen in der Praxis Highlights aus den OWASP TOP 10
The OWASP Foundation http://www.owasp.org Absicherung von Web-Anwendungen in der Praxis Highlights aus den OWASP TOP 10 Tobias Glemser tobias.glemser@owasp.org tglemser@tele-consulting.com Ralf Reinhardt
MehrOrder Ansicht Inhalt
Order Ansicht Inhalt Order Ansicht... 1 Inhalt... 1 Scope... 2 Orderansicht... 3 Orderelemente... 4 P1_CHANG_CH1... 6 Function: fc_ins_order... 7 Plug In... 8 Quelle:... 8 Anleitung:... 8 Plug In Installation:...
MehrODBC-Verbindungen in Oracle-Datenbanken nutzen
ODBC-Verbindungen in Oracle-Datenbanken nutzen Bereits in der Vergangenheit haben wir verschiedene Möglichkeiten beschrieben, wie sich Daten aus externen Quellen in AutoCAD Map über die ODBC-Verbindung
MehrAPEX Datenverwaltung Wo sind die Daten gerade? Dr. Gudrun Pabst
APEX Datenverwaltung Wo sind die Daten gerade? Dr. Gudrun Pabst Basel Bern Lausanne Zürich Düsseldorf Frankfurt/M. Freiburg i. Br. Hamburg München Stuttgart Wien Voraussetzungen Alles hier gezeigte benötigt
MehrOracle Application Express: Web-Entwicklung schnell und einfach
Oracle Application Express: Web-Entwicklung schnell und einfach Norman Sibbing Sstemberatung ORACLE Deutschland GmbH IT-Fundstücke... Excel-Spreadsheets als Datenbanken PC-Datenbanken als Einzelplatzlösung
MehrOO Programmiersprache vs relationales Model. DBIS/Dr. Karsten Tolle
OO Programmiersprache vs relationales Model Vorgehen bisher Erstellen eines ER-Diagramms Übersetzen in das relationale Datenmodell Zugriff auf das relationale Datenmodell aus z.b. Java ER rel. Modell OO
MehrModerne Anwendungen und relationale Datenbanken? Natürlich!
Moderne Anwendungen und relationale Datenbanken? Natürlich! Carsten Czarski Consulting Member of technical staff - Oracle Application Express April 2017 Copyright 2016 Oracle and/or its affiliates. All
MehrMengen- oder SET-Operatoren fassen das Ergebnis von zwei oder mehreren Teilabfragen zu einem Ergebnis zusammen.
Tipps & Tricks: Mengenoperatoren Bereich: DBA, SQL Erstellung: 06/2004 MP Versionsinfo: 10.1, 10.2, 11.1, 11.2 Letzte Überarbeitung: 06/2009 MA Mengenoperatoren Mengen- oder SET-Operatoren fassen das Ergebnis
MehrOWASP Stammtisch München Sep 2014 XSS und andere Sicherheitslücken aus der Perspektive des Programmcodes
OWASP Stammtisch München Sep 2014 XSS und andere Sicherheitslücken aus der Perspektive des Programmcodes 1 XSS: Cross-Site Scripting 1.) Es gelangen Daten in den Web-Browser, die Steuerungsinformationen
MehrBenchmark: Sicherheitslücken & Compliance-
Peter Werner TITEL bearbeiten Dr. Markus Schumacher Benchmark: Sicherheitslücken & Compliance- Risiken Click to im edit ABAP-Code Master text styles von SAP-Anwendungen 2011 2012 Virtual Forge GmbH www.virtualforge.com
MehrSichere Software. Vermeidung von Angriffspunkten bei der Software-Entwicklung. Andreas Vombach
Sichere Software Vermeidung von Angriffspunkten bei der Software-Entwicklung Andreas Vombach Einleitung Mein Hintergrund Von der Hardware- zur Softwareentwicklung Software im Banking Bereich Erlebnisse
MehrMySQL, Java und einiges mehr
MySQL, Java und einiges mehr Client Der Browser Firefox Chrome Safari Internet Explorer URL http://localhost:8080/html/index.html Internet Die darzustellende Webseite HTML Server Apache Tomcat Jetty
MehrAPEX Security. Marco Patzwahl. DOAG Regio 2018
APEX Security Marco Patzwahl DOAG Regio 2018 Muniqsoft GmbH Tätigkeitsbereiche: Oracle IT-Consulting & Services Oracle Remote Support und Rufbereitschaft Oracle Schulungen (SQL, PL/SQL, DBA, APEX, - gerne
MehrUsername and password privileges. Rechteverwaltung. Controlling User Access. Arten von Rechten Vergabe und Entzug von Rechten DBS1 2004
Arten von Rechten Vergabe und Entzug von Rechten Seite 1 Controlling User Access Database administrator Username and password privileges Users Seite 2 Privileges Database security System security Data
MehrÜber mich. Dem Hacker keine Chance Marc Nilius WordPress-Meetup Dortmund
Über mich Diplom-Informatiker und selbständiger Web-Entwickler WordPress-Wartung und WordPress-Sicherheit @marcnilius oder @wpsicherheit https://www.wp-wartung24.de Co-Organizer diverser Meetups und WordCamps
MehrEin Blick unter die Motorhaube von Oracle APEX. Patrick Wolf, Sphinx IT Consulting DOAG Konferenz Nürnberg, 22.11.2007
Ein Blick unter die Motorhaube von Oracle APEX Patrick Wolf, Sphinx IT Consulting DOAG Konferenz Nürnberg, 22.11.2007 Agenda Architekturübersicht mod_plsql/embedded PL/SQL Gateway Connection Pool Oracle
MehrAgile Apex - Life Cycle Management. Life Cycle Management für Apex Applikationen im agilen Projektumfeld
Life Cycle Management für Apex Applikationen im agilen Projektumfeld Targets the Rapid Application Development Community 2009 Oracle Corporation Agenda 1. Life Cycle Development Software Lebenszyklus Continuous
Mehram Beispiel - SQL Injection
am Beispiel - SQL Injection Einführung Warum ist Sicherheit ein Software Thema? Sicherheit in heutigen Softwareprodukten & Trends OWASP Top 10 Kategorien Hacking Demo SQL Injection: der Weg zu den Daten
Mehrids-system GmbH Tipp #3 Leer-Strings in SQL oder die Frage nach CHAR oder VARCHAR
ids-system GmbH Tipp #3 Leer-Strings in SQL oder die Frage Zusammenfassung Dieses Dokument beschreibt die Unterschiede zwischen CHAR und VARCHAR Datentyp sowie die Behandlung im SQL Michael Tiefenbacher
MehrErzeugung und Veränderung von Tabellen
Datenbanken - Objekte Erzeugung und Veränderung von Tabellen Objekt Tabelle View Sequence Index Synonym Basiseinheit zum Speichern; besteht aus Zeilen und Spalten; Logische Repräsentation; kann Teilmengen
MehrVon der Steinzeit ins neue Jahrhundert. Migration von APEX 4.2 auf 18.1 in die Cloud & Open ID Anbindung (Erfahrungsbericht)
All rights reserved Seite 1 Von der Steinzeit ins neue Jahrhundert Migration von APEX 4.2 auf 18.1 in die Cloud & Open ID Anbindung (Erfahrungsbericht) Christian Haag, DATA MART Consulting Oracle DWH Team
MehrAufgabenstellung. Bekannte Lösungsansätze. Die Idee. Native Informix Architektur
Herbert Birkenbach 28.03.2000 CSS Open Database Architecture CSS Open Database Architecture Die Firma CSS GmbH erstellt und vertreibt kaufmännische Standard-Software. Die Entwicklung basierte datenbankseitig
MehrAPEX 5.0 DOAG Mai 2014
APEX 5.0 DOAG Mai 2014 APEX 5.0 16 Jahre MuniQSoft GmbH Tätigkeitsbereiche: Oracle Support Hotline: Mo-Fr 8.00 18.00 Uhr Erweiterung um Rufbereitschaft auch am Wochenende möglich Oracle IT-Consulting &
MehrCARM und CARM-NG Server Automatisierung mit Agenten; Schnittstellen zu anderen Datenbanken; Web-Enabled
CARM und CARM-NG Server Automatisierung mit Agenten; Schnittstellen zu anderen Datenbanken; Web-Enabled APIS Informationstechnologien GmbH Heiko Wagner John Rainer XIII. Benutzertreffen für APIS IQ-Software
MehrAPEX Security. Marco Patzwahl DOAG APEX CONNECT 2018
APEX Security Marco Patzwahl DOAG APEX CONNECT 2018 Tätigkeitsbereiche: Oracle IT-Consulting & Services Oracle Remote Support und Rufbereitschaft Oracle Schulungen (SQL, PL/SQL, DBA, APEX, - gerne auch
MehrÜber mich. Dem Hacker keine Chance Marc Nilius WordPress-Meetup Bonn
Über mich Diplom-Informatiker und selbständiger Web-Entwickler WordPress-Wartung und WordPress-Sicherheit @marcnilius oder @wpsicherheit https://www.wp-wartung24.de Co-Organizer diverser Meetups und WordCamps
MehrSichere Webanwendungen brauchen sichere Infrastrukturen! Reicht das in der Realität aus?
Sichere Webanwendungen brauchen sichere Infrastrukturen! Reicht das in der Realität aus? Ziel dieses Vortrags Thema Sicherheit von Webanwendungen greifbar machen Praxisorientierte Einführung in aktuelle/zukünftige
MehrApplication Express (APEX) Carsten Czarski Business Unit Database. ORACLE Deutschland B.V. & Co KG
Application Express (APEX) Anwendungen - schnell und einfach. In der Cloud oder On Premise. Carsten Czarski Business Unit Database ORACLE Deutschland B.V. & Co KG Oracle Application Express (Oracle APEX)
MehrORACLE CLOUD VERLEIHT ADF ANWENDUNGEN FLÜGEL. Andreas Koop CEO & Consultant Oracle Technologies
ORACLE CLOUD VERLEIHT ADF ANWENDUNGEN FLÜGEL CEO & Consultant Oracle Technologies DOAG 2013 Development, Bonn, 19.06.2013 ÜBER MICH CEO & Consultant Oracle Technologies Beratung, Training Oracle Technologie
MehrMobile Security & Privacy Lab
Mobile Security & Privacy Lab 1 Gliederung in Module Browser- Settings Cookies Man in the middle Public Hotspot Flash Targeted Advertising Webtracking WLAN und Datensicherheit HTTPS WPA2 VPN Reverse Engineering
MehrPortal zur Verwaltung von Wohngemeinschaftsfinanzen mit dem Web-Framework Django
Portal zur Verwaltung von Wohngemeinschaftsfinanzen mit dem Web-Framework Django 29. Januar 2018 Yannick Linke 2018 Yannick Linke/FH Aachen Portal zur Verwaltung von Wohngemeinschaftsfinanzen mit Django
MehrSicherheit von Webanwendungen. mit IBM Rational AppScan
Sicherheit von Webanwendungen mit IBM Rational AppScan Ziel dieses Vortrags Rund zwei Drittel aller Hackerangriffe richten sich gegen Webanwendungen mit dem Ziel, persönliche und unternehmenskritische
MehrSicherheit und Datenschutz in SAP Systemen. Die Rolle von SAP Sicherheit in der IT-Sicherheit
Sicherheit und Datenschutz in SAP Systemen Die Rolle von SAP Sicherheit in der IT-Sicherheit Agenda 1. SAP als Angriffsziel 2. Bekannte und neue Sicherheitslücken 3 1. SAP als Angriffsziel 1997 die guten
MehrOracle Enterprise Manager 12c Database Express (EM Express)
Oracle Enterprise Manager 12c Database Express (EM Express) Josef Lippert Freiberuflicher IT Consultant München Schlüsselworte Oracle Enterprise Manager Database Express, EM Express, Administration Einleitung
MehrNeue Features Oracle Database 12.2 Wann denn endlich?
Neue Features Oracle Database 12.2 Wann denn endlich? DOAG 2017 Datenbank Dierk Lenz Erfolgreich seit 1996 am Markt Firmensitz: Burscheid (bei Leverkusen) Beratung, Schulung und Betrieb/Fernwartung rund
MehrBetroffene Produkte: Alle Versionen von Oracle Forms (3.0-10g, C/S und Web), Oracle Clinical, Oracle Developer Suite
Zusammenfassung: Alle Oracle Forms Anwendungen sind per Default durch SQL Injection angreifbar. Oracle Applications >=11.5.9 ist davon nicht betroffen, da hier standardmäßig der Wert FORMSxx_RESTRICT_ENTER_QUERY
MehrAPEX Datenverwaltung Wo sind die Daten gerade?
APEX Datenverwaltung Wo sind die Daten gerade? Dr. Gudrun Pabst Trivadis GmbH München Schlüsselworte: APEX, Sessionverwaltung, Dynamic Actions Einleitung Eine APEX-Anwendung wird erst durch zusätzliche
MehrWillkommen. Datenbanken und Anbindung
Willkommen Datenbanken und Anbindung Welche stehen zur Wahl? MySQL Sehr weit verbreitetes DBS (YT, FB, Twitter) Open-Source und Enterprise-Version Libs in C/C++ und Java verfügbar Grundsätzlich ist ein
MehrDiagramme - Next Generation
Diagramme - Next Generation D3.js im Unternehmen nutzen Carsten Czarski Business Unit Database Oracle Deutschland B.V. & Co KG Data Driven Documents (www.d3js.org) 2 Was ist D3js? Daten-Visualisierung
MehrAPEX 5.0: neue & überarbeitete Komponenten. Oliver Lemm Berlin,
APEX 5.0: neue & überarbeitete Komponenten Oliver Lemm Berlin, 16.09.2015 Agenda 1. Modale Dialoge 2. mobile Komponenten 3. Aktualisierte Komponenten 2 Modale Dialoge 3 Modaler Dialog (Page) Page Modal
MehrSicherheitslücken in Webanwendungen -
Manuel Ziegler Web Hacking Sicherheitslücken in Webanwendungen - Lösungswege für Entwickler Mit Playground im Internet HANSER Vorwort IX 1 Sicherheitsprobleme im Internet und deren Folgen 1 1.1 Sicherheitsprobleme
MehrAuf einen Blick. Abfrage und Bearbeitung. Erstellen einer Datenbank. Komplexe Abfragen. Vorwort... 13
Auf einen Blick Vorwort... 13 Teil 1 Vorbereitung Kapitel 1 Einleitung... 17 Kapitel 2 SQL der Standard relationaler Datenbanken... 21 Kapitel 3 Die Beispieldatenbanken... 39 Teil 2 Abfrage und Bearbeitung
MehrSchwachstellenanalyse 2012
Schwachstellenanalyse 2012 Sicherheitslücken und Schwachstellen in Onlineshops Andre C. Faßbender Schwachstellenforschung Faßbender 13.01.2012 Inhaltsverzeichnis 1. Abstract... 3 2. Konfiguration der getesteten
MehrJanotta und Partner. Projekt DEFENSE
Janotta und Partner Cybersicherheit Sicherheit Projekt DEFENSE Heutzutage existiert eine Vielzahl von Methoden zur Erkennung von Angriffen. So arbeiten viele Systeme heute nach dem Prinzip. Datenpakete
MehrDatenbanken SQL Einführung Datenbank in MySQL einrichten mit PhpMyAdmin
Datenbanken SQL Einführung Datenbank in MySQL einrichten mit PhpMyAdmin PhpMyAdmin = grafsches Tool zur Verwaltung von MySQL-Datenbanken Datenbanken erzeugen und löschen Tabellen und Spalten einfügen,
MehrErweiterung des Zugriffsschutzes auf Objektattribute im Internet-GIS kvwmap
Steinbeis Transferzentrum Geoinformatik Rostock Erweiterung des Zugriffsschutzes auf Objektattribute im Internet-GIS kvwmap und Verwendung in einem generischer Layereditor Dr.-Ing. Peter Korduan Dipl.-Inf.
MehrNeue Wege zur Oracle-Migration
Neue Wege zur Oracle-Migration Laurenz Albe laurenz.albe@cybertec.at Cybertec Swiss PGDay 2018 Die Problemstellung DB-Migration besteht aus mehreren Teilen: Objektdefinitionen migrieren (CREATE TABLE,
MehrOracle APEX 3.2. Peter Raganitsch. Einführung und neue Features 16.04.2009
Oracle APEX 3.2 Einführung und neue Features 16.04.2009 Peter Raganitsch Agenda» Über Competence Center» Was ist Oracle Application Express» Welche Entwickler» Features von Oracle APEX» Architektur» Neue
MehrDBMS_RLS Package Es besteht die Möglichkeit, auf Views oder Tables eine Funktion zu legen, die abhängig von bestimmten Faktoren
Tipps & Tricks: Row Level Security Bereich: DBA Erstellung: 092008 MP Versionsinfo: 10.1, 10.2, 11.1 Letzte Überarbeitung: 072009 MP Row Level Security DBMS_RLS Package Es besteht die Möglichkeit, auf
MehrVariable. Interaktive Skripte
Interaktive Skripte Variable...sal =? deptno=?.. ename =?... Werte eingeben während der Laufzeit. Nutzer SQL1 basierend auf OAI-Kurs Copyright Oracle Corporation, 1998. All rights reserved SQL2 basierend
MehrEinsatz von APEX 2.2 / 3.0. codework Software GmbH. Sabine Drescher-Gude. bei der DOAG. DOAG SIG Development Kassel
Einsatz von APEX 2.2 / 3.0 bei der DOAG Sabine Drescher-Gude codework Software GmbH DOAG SIG Development Kassel 31.05.2007-1 about codework Kleines SW-Haus Gegründet 1984 Ursprünglich tätig im IBM MVS
MehrDatenbanken Labor, MI : Übung 1 SQL - Abfragen Patrick Lipinski
Aufgabe 1 Erstellen Sie eine Abfrage, die aus der EMP/DEPT-Tabelle die Felder Empno, Ename, Deptno und dname aller Mitarbeiter mit einem Gehalt von > 2500 ausgibt. select EMPNO, ENAME from EMP where SAL
MehrOracle Forms und APEX
Oracle Forms und APEX Gerd Volberg + Jan Winkels OPITZ CONSULTING Deutschland GmbH Gummersbach Schlüsselworte Oracle Forms, Oracle Application Express, APEX, PL/SQL, JavaScript-API Einleitung APEX wird
MehrAuf einen Blick. Abfrage und Bearbeitung. Erstellen einer Datenbank. Komplexe Abfragen. Vorwort 13
Auf einen Blick Vorwort 13 Teil 1 Vorbereitung Kapitel 1 Einleitung 17 Kapitel 2 SQL - der Standard relationaler Datenbanken 21 Kapitel 3 Die Beispieldatenbanken 39 Teil 2 Abfrage und Bearbeitung Kapitel
MehrEinführung in Web-Security
Einführung in Web-Security Alexander»alech«Klink Gulaschprogrammiernacht 2013 Agenda Cross-Site-Scripting (XSS) Authentifizierung und Sessions Cross-Site-Request-Forgery ([XC]SRF) SQL-Injections Autorisierungsprobleme
MehrDie Datenmanipulationssprache SQL
Die Datenmanipulationssprache SQL Daten eingeben Daten ändern Datenbank-Inhalte aus Dateien laden Seite 1 Data Manipulation Language A DML statement is executed when you Add new rows to a table Modify
Mehr[14-04] Huseby, Sverry: Sicherheitsrisiko Web-Anwendung. dpunkt, 2004
Literatur I [14-01] Power, Richard: Attacken im Web. Markt+Technik, 2001 [14-02] Kunz, Christopher; Esser, Stefan: PHP-Sicherheit. dpunkt, 3. Auflage, 2008 [14-03] Ziegler, Paul Sebastian: Cross-Site Scripting.
MehrMetadaten oder Metainformationen sind Daten, die Informationen über Merkmale anderer Daten enthalten, aber nicht diese Daten selbst (Wikipedia)
Metadaten oder Metainformationen sind Daten, die Informationen über Merkmale anderer Daten enthalten, aber nicht diese Daten selbst (Wikipedia) Dr. Christian Senger Metadaten 1 Vorgehen bei ER Modellierung
MehrAbbildung 6-8: Abfolge beim doppelten Abschicken von Formularen
HACK #55 Hack Doppeltes Abschicken von Formularen verhindern Durch die Verwendung einer Transaktionstabelle in Ihrer Datenbank können Sie das klassische Problem der doppelt abgeschickten Formulare verhindern.
Mehr1 Eine Einführung in das Pentesting und in Exploiting-Frameworks 1
D3kjd3Di38lk323nnm xix 1 Eine Einführung in das Pentesting und in Exploiting-Frameworks 1 1.1 Was ist Pentesting?....................................... 1 1.2 Die Phasen eines Penetrationstests...........................
MehrTOra - Toolkit for Oracle
TOra - Toolkit for Oracle Einführung in das Entwicklungswerkzeug TOra Timo Meyer Seite 1 von 15 OCP DBA 9i 2005-07-05 Seite 1 von 15 Agenda 1. Einleitung 2. Installation 3. TOra Toolkit for Oracle 4. Live-Demonstration
MehrOracle 10g Einführung
Kurs Oracle 10g Einführung Teil 2 Oracle 10g Express Edition (XE) Installation auf Windows XP GridAgenda Timo Meyer Administration von Oracle-Datenbanken Seite 1 von 50 Timo Meyer Sommersemester 2006 Seite
Mehr